浅析防火墙安全技术策略.docVIP

浅析防火墙安全技术策略 　　摘要:本文针对目前防火墙在网络中的重要性,针对防火墙技术进行了简单的分析,论述了防火墙的安全策略设计。 　　关键词:网络 防火墙 安全策略 　　 　　0 引言 　　 　　网络技术的飞速发展,在给信息共享带来了翻天覆地的变化的同时,也带来了安全隐患,随之而来的问题就是如何保护网络的安全。防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。在构建安全网络环境的过程中,防火墙作为第一道安全防线,正受到越来越多用户的关注。防火墙仍然起着最基本的预防作用,仍然是保护网络安全所必须的工具。 　　 　　1 防火墙技术分析 　　 　　防火墙是一种连接内网和外网(比如Internet) 的网关,提供对进入内部网络连接的访问控制能力。它能够根据预先定义的安全策略,允许合法连接进入内部网络,阻止非法连接,抵御黑客入侵,保护内部网的安全,防止机密数据的丢失。防火墙通常用于保护公司的内部网络,但也用于隔离不同部门之间的网络。防火墙在保护网络安全方面已经发挥出越来越重要的作用。 　　1.1 包过滤技术 包过滤防火墙是最早的防火墙技术。顾名思义,包过滤就是根据数据包头信息和过滤规则阻止或允许数据包通过防火墙。当数据包到达防火墙时,防火墙就检查数据包包头的源地址、目的地址、源端口、目的端口,及其协议类型。若是可信连接,就允许其通过;否则就丢弃。由于包过滤防火墙处于OSI 七层模型的网络层,它只检查数据包头信息,处理数据包的速度很快。但是由于这种防火墙没有检查应用层的数据,也没有跟踪连接状态,并且没有用户和应用的验证,因此存在安全漏洞。 　　1.2 应用代理技术 应用层代理防火墙也被称为应用层网关,这种防火墙的工作方式同包过滤防火墙的工作方式具有本质区别。代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序。应用层代理为一特定应用服务提供代理,它对应用协议进行解析并解释应用协议的命令。应用层代理防火墙的优点是能解释应用协议,支持用户认证,从而能对应用层的数据进行更细粒度的控制。缺点是效率低,不能支持大规模的并发连接,只适用于单一协议。 　　1.3 状态检测技术 状态检测防火墙也叫自适应防火墙又叫动态包过滤防火墙。1992年USC 信息科学院的Bobbradon 提出了动态包过滤防火墙,在此基础上1994年Check Point公司提出了状态检测防火墙,Check Point公司的FireWall-1 就是基于这种技术。后来Progressive System 公司又提出了自己的自适应防火墙,它们的Phoenix 防火墙也是基于此技术,状态检测防火墙在包过滤的同时,检查数据包之间的关联性,检查数据包中动态变化的状态码。它有一个检测引擎,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态的保存起来作为以后执行安全策略的参考,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密处理等处理动作。 　　1.4 自适应代理技术 自适应代理防火墙是由Network Associates 公司提出的,它整合了动态包过滤防火墙技术和应用代理技术,本质上也是状态检测防火墙。Network Associates公司的Gauntlet就是用这种技术。 　　自适应代理防火墙一般是通过应用层验证新的连接,这种防火墙同时具有代理防火墙和状态检测防火墙的特性。防火墙能够动态地产生和删除过滤规则。由于这种防火墙将后续的安全检查重定向到网络层,使用包过滤技术,因此对后续的数据包的应用层数据没有进行有效地检查。同样,由于使用了代理技术,而代理技术不能检测未知的攻击行为。 　　 　　2 防火墙安全策略设计 　　 　　2.1 创建安全策略 策略对防火墙来说是关键因素,有两种网络级的策略可以直接影响到防火墙系统的设计、安装和使用: 　　2.1.1 网络服务访问权限策略:一种较高级别的策略,用来定义允许的和明确拒绝的服务,包括提供这些服务的使用方法及策略的例外情况; 　　2.1.2 防火墙设计策略:一种较低级别策略,用来描述防火墙如何对网络服务访问权限策略中所定义的服务进行具体的限制访问和过滤。 　　安全策略是防火墙系统的重要组成部分和灵魂,而防火墙设备是它的忠实执行者和体现者,二者缺一不可。安全策略决定了受保护网络的安全性和易用性,一个成功的防火墙系统首先应有一个合理可行的安全策略,这样的安全策略能够在网络安全需求及用户易用性之间实现良好的平衡。如稍有不慎,就会拒绝用户的正常请求的合法服务或者给攻击者制造了可乘之机。 　　安全策略的制定受到多种因素的影响,对每一个具体的网络环境,应根据各自的具体情况制定不同的安全策略